12 mars 2020

Attaques DDOS et extorsion de paiements en Bitcoin ? Comment vous protéger avec CloudFlare

Guide d'utilisation de CloudFlare pour atténuer DDOS L7.

Au cours des deux derniĂšres semaines, certains de nos clients ont Ă©galement Ă©tĂ© ciblĂ©s par ce qui semble ĂȘtre une tendance destinĂ©e Ă  se rĂ©pandre de plus en plus, Attaques DDOS suivre demandes de rançon en Bitcoin pour mettre fin Ă  l'attaque.

Ce qui semblait ĂȘtre un cas sporadique en fait qui a d'abord frappĂ© le site d'un de nos clients, dans les jours suivants s'est avĂ©rĂ© ĂȘtre une rĂ©currence, ayant en fait dĂ» faire face Ă  5 tentatives d'attaque DDOS Layer 7 et autant de demandes d'extorsion et de paiements en Bitcoin.

En effet, en nous comparant Ă  nos clients Webmasters et autres hĂ©bergeurs, nous avons pu constater que la tendance de ces attaquants est en forte hausse, ayant eu la confirmation du mĂȘme modus operandi avec mĂȘme le mĂȘme montant Ă  payer si vous vouliez arrĂȘter le attaque, ou 250 € en Bitcoin.

Vous pouvez trouver sur la photo ci-dessous l'e-mail menaçant avec la demande de rançon :

Comme on peut le voir sur l'adresse du portefeuille Bitcoin, c'est le mĂȘme hacker qui a attaquĂ© un autre site d'un de nos clients en essayant de extorquer le mĂȘme montant et mĂȘme se plaindre que le gestionnaire (c'est-Ă -dire nous) limitait l'attaque en excluant certains pays attaquants oĂč l'attaquant avait vraisemblablement de grands botnets et Ă©tait capable de gĂ©nĂ©rer un nombre trĂšs Ă©levĂ© de requĂȘtes GET et POST sur le site de notre client, provoquant une panne qui dans la terminologie technique s'appelle Denial Of Service ou plus simplement DOS.

salut,
Je remarque actuellement que votre responsable continue de m'obstruer en essayant de bloquer les demandes entrantes d'autres pays. Actuellement, seule l'Italie a accĂšs Ă  votre site Web. Ce qui est assez ennuyeux pour vous, car selon certaines de mes recherches, votre public n'embrasse pas que les Italiens : en fait, 20% des visiteurs de votre site ne sont PAS d'Italie.
Ce que je recommande c'est de montrer cet e-mail Ă  votre manager et de lui faire comprendre que je peux trĂšs bien "jouer" avec ses mauvaises protections (geoblock, ipban, recaptcha, jschallenge).

Pour le reste je souhaite un bon travail PAS comme toujours, et j'attends ma somme de 250€ dans mon wallet BITCOIN à :

1HHFxKeVk35FCnd36bV7LYyk3CNT6avFRT

J'ai besoin d'une réponse dans les 24 heures

PS : Cloudflare est inutile pour déguiser l'IP du serveur : (78.47.XX)
Je peux facilement trouver le backend. Mais je n'en ai pas encore besoin. Je m'en tiens juste au frontend. Bonne chance!

Le message nous a été envoyé directement par l'un de nos clients Webmaster via Whatsapp comme vous pouvez le voir sur l'écran suivant :

Quelques hypothÚses sur l'identité de l'agresseur.

Les deux messages, le premier et le second, semblent ĂȘtre Ă©crits dans un italien parfait, on peut donc supposer que l'attaquant est italien ou au moins de langue maternelle italienne. Ce n'est Ă©videmment pas certain mais il est raisonnable et pacifique de le penser.

Sûrement le fait qu'il demande explicitement un paiement en mentionnant les euros plutÎt que les dollars nous fait penser encore plus que nous sommes face à un attaquant européen presque certainement italien.

Le montant requis, bien qu'il puisse sembler faible, est un coĂ»t intelligemment pondĂ©rĂ©, ni trop Ă©levĂ© pour ĂȘtre ignorĂ©, ni trop faible par rapport au coĂ»t d'attĂ©nuation d'un DDOS. Il s'agit probablement d'une extorsion bien pondĂ©rĂ©e qui pourrait inviter l'attaquant Ă  payer la somme indiquĂ©e afin de voir cesser l'attaque DDOS et remettre le site en ligne.

Le type d'attaque.

L'attaque lancĂ©e est une attaque Layer7 (au niveau applicatif donc) se concentrant sur l'inondation de requĂȘtes GET et POST vers le site victime.

Les IP sources avaient une géolocalisation mondiale avec des pays internationaux et européens, dont l'Italie. L'attaque concernait de nombreux fournisseurs de consommateurs ADSL, il est donc supposé que le prétendu botnet n'était en réalité rien de plus qu'une redirection de navigateur légitime d'utilisateurs réels.

En effet, n'Ă©tant pas des requĂȘtes simples et triviales de type GET et POST implĂ©mentĂ©es par les toolkits "habituels" des hackers du dimanche, ils ont su s'affranchir du mode challenge du mode « SOUS ATTAQUE » par CloudFlare, notre prĂ©cieux partenaire dans l'attĂ©nuation DDOS.

Cela signifie essentiellement que le client qui fait des demandes au CloudFlare ont pu exĂ©cuter du code Javascript, Ă©tant donnĂ© que la technologie de validation du navigateur de CloudFlare prĂ©voit un dĂ©fi (une rĂ©solution d'un problĂšme mathĂ©matique) via l'interprĂ©teur Javascript dont tous les navigateurs sont fournis mais trĂšs peu ou pas d'outils pour effectuer l'inondation de requĂȘtes GET ou POST .

De nombreuses demandes provenaient de référents tels que reddit.com, baidu.com, yahoo.com et similaire, comme vous pouvez le voir dans cet écran suivant en allant filtrer directement dans le log du serveur web NGINX access.log

Ne cédez pas au chantage et ne payez jamais la rançon.

MĂȘme si une baisse peut ĂȘtre prĂ©occupante du fait de la perte de revenus mĂȘme Ă  court terme (pensez juste au manque de monĂ©tisation des annonces publicitaires, des banniĂšres ou de simples ventes perdues) et de la somme Ă  payer, somme toute Ă©conomique, nous doit toujours se rappeler que cĂ©der au chantage signifie ĂȘtre dĂ©sormais disponible pour ĂȘtre des « distributeurs automatiques Â» personnels pour l'attaquant.

Si vous payez une fois, préparez-vous à en payer une seconde, puis une troisiÚme et ainsi de suite. Vous paierez toujours, car vous l'avez déjà fait une fois et vous serez considéré comme psychologiquement faible et toujours enclin à payer et à subir du chantage.

Vous ne devez jamais payer ou céder au chantage, mais contactez plutÎt du personnel compétent et qualifié comme nous pour résoudre le problÚme une fois pour toutes.

Dans ces cas, la rĂšgle est simple : ne saignez jamais devant les requins.

Qu'est-ce que CloudFlare ?

CloudFlare est proxy inverse avec fonctions CDN (Content Delivery Network). En pratique, c'est un serveur qui s'interpose entre le serveur oĂč est hĂ©bergĂ© votre site et les visiteurs, effectuant Ă©galement fonctions de mise en cache, accĂ©lĂ©rant encore les performances de votre site. Il ne se limite pas Ă  la distribution de contenu statique (comme un CDN normal), mais offre de nombreuses fonctionnalitĂ©s pour augmenter la sĂ©curitĂ©, optimiser un site, accĂ©lĂ©rer le DNS et se protĂ©ger contre les attaques DDOS.

Lorsqu'une demande arrive d'un utilisateur, CloudFlare (en un minimum de temps), vĂ©rifiez d'abord si le visiteur est digne de confiance, et si c'est le cas, aprĂšs avoir pris les contenus statiques (images, css, javascript) du cache, il les renvoie au visiteur lui-mĂȘme.

Laissant de cÎté la fonctionnalité du CDN et l'optimisation de la diffusion de contenu via la minification, les conversions d'images Webp et bien plus encore, dans cet article, nous nous concentrerons sur l'utilisation de CloudFlare afin d'atténuer une attaque DDOS.

Comment atténuer un DDOS Layer7 via CloudFlare ?

La premiĂšre chose Ă  comprendre Ă  propos des attaques de niveau 7 est qu'elles nĂ©cessitent une meilleure comprĂ©hension du site Web et de son fonctionnement. L'attaquant doit faire ses devoirs et crĂ©er une attaque spĂ©cialement conçue pour atteindre son objectif. Pour cette raison, ces types d'attaques DDoS nĂ©cessitent moins de bande passante pour arrĂȘter le site et sont plus difficiles Ă  dĂ©tecter et Ă  bloquer.

La meilleure façon d'arrĂȘter un DDOS Layer7 est d'utiliser un service de sĂ©curitĂ© comme CloudFlare celui qui fonctionne en reverse proxy, nous offre quelques fonctionnalitĂ©s importantes pour filtrer le trafic en amont.

En d'autres termes, comme vous pouvez le voir sur l'image ci-dessus, lorsque l'attaquant essaie de contacter notre site (ou son trafic malveillant), il devra passer par CloudFlare qui nous permet via une interface Web agrĂ©able et pratique de mettre en place des rĂšgles pour filtrer le trafic malveillant et ainsi le bloquer renvoyer les codes d'erreur 500 et Ă©viter que des requĂȘtes alĂ©atoires ou paramĂ©triques puissent littĂ©ralement faire planter notre serveur Web, notre interprĂ©teur PHP ou notre base de donnĂ©es jusqu'Ă  ce qu'il se bloque.

Pour ce faire, vous pouvez compter en toute sécurité sur CloudFlare qui également dans la version gratuite (donc gratuite) vous permet d'avoir tous les outils dont vous avez besoin pour faire un filtrage intelligent sur différents facteurs.

Par la suite, une fois le plan gratuit confirmé, le systÚme intelligent d'analyse des enregistrements DNS reproduira la ZONE DNS actuelle de notre serveur de noms faisant autorité pour le domaine en question (dans ce cas, par exemple pippo.it) afin de trouver tous les enregistrements de la ZONE sur les serveurs de noms CloudFlare.

NOTE IMPORTANTE : Attention, le systĂšme intelligent de CloudFlare bien que trĂšs avancĂ© il est souvent incapable de localiser les enregistrements « cachĂ©s Â» tels que les domaines de troisiĂšme niveau et autres et donc c'est toujours votre tĂąche et votre soin de vous assurer que toutes les entrĂ©es utiles de la ZONE DNS actuelle sont Ă©galement signalĂ©es sur la nouvelle ZONE des serveurs de noms CloudFlare, en prenant soin d'ajouter tous les enregistrements introuvables.

Vous serez confronté à une liste d'enregistrements de ce type qui reflÚte (ou du moins devrait) votre ZONE DNS actuelle.

La bulle orange qui peut ĂȘtre activĂ©e ou dĂ©sactivĂ©e d'un simple clic de souris signifie si pour le type d'enregistrement en question CloudFlare doit accorder un accĂšs direct Ă  l'IP du site rĂ©el, rĂ©alisant ainsi une fonction de serveur de noms trĂšs normale, ou si le trafic doit passer par CloudFlare et donc fonctionner en mode Reverse Proxy.

Dans le mode de Reverse Proxy, le navigateur d'un Ă©ventuel visiteur contactera l'IP du serveur CloudFlare et selon certaines rĂšgles que nous verrons plus tard CloudFlare aura le droit de contacter le site du client ou de refuser la connexion avec un code d'erreur.

Il est donc raisonnable si le serveur Web est attaquĂ© via des requĂȘtes GET ou POST, de filtrer tous les enregistrements qui renvoient au serveur Web lui-mĂȘme, comme on peut le voir ci-dessous le nom de domaine nu sans www, celui avec www et le ftp relatif conscient que trĂšs souvent, l'adresse FTP correspond Ă  celle du serveur Web et en laissant l'IP FTP visible, l'attaquant pourrait retracer l'IP d'origine de la machine qui se trouve actuellement derriĂšre CloudFlare.

La configuration ressemblerait donc Ă  ceci :

Par la suite, en avançant dans la configuration et en cliquant sur continuer, CloudFlare invitera l'utilisateur Ă  changer les serveurs de noms actuels du REGISTRAIRE actuel par ceux fournis par CloudFlare lui-mĂȘme.

Dans l'image ci-dessus, par exemple, CloudFlare m'invite à remplacer les serveurs de noms faisant autorité actuels alicom.com par les deux de cloudflare.com précédés d'un nom souvent unique pour chaque compte d'utilisateur individuel.

Pour faire ça vous devez normalement avoir accĂšs au panneau de contrĂŽle de votre fournisseur oĂč vous avez enregistrĂ© le domaine et choisir de remplacer les serveurs de noms d'origine par ces nouveaux, ce n'est qu'une fois que les nouveaux serveurs de noms CloudFlare se sont propagĂ©s dans le monde que vous pouvez ĂȘtre sĂ»r que le trafic web transite par les systĂšmes CloudFlare et n'arrive pas directement sur votre site sans aucun intermĂ©diaire capable de vous protĂ©ger et de filtrer le trafic malveillant.

NOTE IMPORTANTE : Changer les serveurs de noms bien que ce soit une opĂ©ration extrĂȘmement simple, ce n'est pas une opĂ©ration immĂ©diate. Changer un serveur de noms dans de nombreuses configurations cela peut prendre des heures voire des jours. Pour cette raison, il serait judicieux si vous vous souciez de votre site Web de remplacer immĂ©diatement les serveurs de noms de votre fournisseur par ceux de CloudFlare, en obtenant, entre autres, une vitesse de rĂ©ponse beaucoup plus Ă©levĂ©e aux requĂȘtes DNS et en ayant la possibilitĂ© d'ĂȘtre immĂ©diatement prĂȘt Ă  activer le filtrage fonctionne en cas d'attaque, sans avoir Ă  attendre la propagation du nouveau DNS et en Ă©vitant toute la procĂ©dure indiquĂ©e jusqu'Ă  prĂ©sent.

Un site Web producteur de richesse ne devrait utiliser que les serveurs de noms de CloudFlare comme serveurs de noms.

 

Utilisation de CloudFlare.

Filtrer une attaque DDOS en général, et en particulier une attaque Layer7 sur un site web, c'est tout d'abord avoir une bonne capacité à analyser l'attaque afin de comprendre de quoi filtrer à travers CloudFlare uniquement le trafic malveillant, ne laissant passer que le sain.

L'une des principales raisons de l'Ă©chec de l'attĂ©nuation DDOS consiste Ă  adopter le bon outil (CloudFlare) mais simplement Ă  activer le mode Sous Attaque pensant qu'en cliquant sur le bouton "Je suis attaquĂ©", CloudFlare pourra vous protĂ©ger en faisant tout par lui-mĂȘme. Rien de plus faux.

Le mode under attack est en fait un systĂšme qui pense de maniĂšre assez grossiĂšre, pensant que si de nombreuses requĂȘtes GET ou POST arrivent sur le site Web, ces requĂȘtes proviennent probablement d'outils d'attaque installĂ©s sur divers botnets qui prĂ©tendent ĂȘtre un navigateur Web mais sont pas rĂ©ellement un navigateur Web.

Il s'attend Ă  ce qu'un client soit capable de communiquer sur le protocole TCP / IP, d'effectuer une poignĂ©e de main via le protocole SSL ou TLS pour Ă©tablir une communication HTTPS, puis de continuer Ă  inonder la cible victime de requĂȘtes.

Ce que ces boĂźtes Ă  outils d'attaque n'ont normalement pas, c'est un interprĂ©teur Javascript et donc proposer un CHALLENGE (une sorte de question) en Javascript Ă  un client qui n'a pas la possibilitĂ© de le rĂ©soudre car il n'a pas d'interprĂ©teur Javascript signifie que le client ne peut pas donner la bonne rĂ©ponse et ainsi gagner un TOKEN (qui en gĂ©nĂ©ral dure 30 minutes mais peut ĂȘtre augmentĂ©e Ă  partir des paramĂštres CloudFlare) afin d'ĂȘtre sur liste blanche et donc d'atteindre le site.

Nous pouvons facilement reconnaßtre un site sur lequel le mode SOUS ATTAQUE est activé à partir d'un écran d'accueil d'introduction comme le suivant et avec un temps d'attente de quelques secondes, le temps de relever le défi.

Mais que faire si les requĂȘtes ne sont pas gĂ©nĂ©rĂ©es par des clients grossiers, mais par de vrais navigateurs Web comme Firefox, Google Chrome, Internet Explorer, Safari, qui Ă  leur insu sont dĂ©tournĂ©s en trĂšs grand nombre vers le site de l'attaquant ? Il arrive que leur navigateur Ă©tant un navigateur Javascript Ă  part entiĂšre, il pourra rĂ©soudre le dĂ©fi, obtenir le jeton et pouvoir inonder le site de la victime de requĂȘtes.

À ce stade, nous ne pouvons donc plus nous limiter Ă  garder leMode SOUS ATTAQUE par CloudFlare sans rien faire d'autre, puis se plaindre que CloudFlare ne fonctionne pas. Vous ne savez tout simplement pas comment l'utiliser. Il ne suffit pas d'avoir l'outil pour ĂȘtre maĂźtre mais surtout de savoir s'en servir. Cette rĂšgle est valable dans tous les domaines de la vie, notamment dans le domaine professionnel.

Que filtrer cependant ?

Ce que vous devez faire, c'est comprendre comment l'attaque se produit, d'oĂč viennent les demandes, quels sont les renvois, les pays, les fournisseurs, les demandes, les URL qui sont appelĂ©es afin d'identifier chirurgicalement le trafic malveillant de ce trafic lĂ©gitime et ne laissez passer que ce dernier.

Pour ce faire, nous avons tout d'abord besoin d'une certaine expĂ©rience dans l'analyse des requĂȘtes qui arrivent au serveur Web en parcourant le journal qui s'appelle normalement access.log ou access_log.

C'est Ă  travers l'analyse de ces requĂȘtes que l'on peut percevoir visuellement les anomalies du trafic malveillant et de l'attaque et aller filtrer ce trafic.

Pour ce faire, nous avons le module FIREWALL de CloudFlare ce qui nous permet d'utiliser certains paramÚtres pour filtrer en fonction des conditions à l'aide d'opérateurs logiques.

Par exemple, nous pourrions vĂ©rifier (faire correspondre) le trafic Ă  travers le pays et dĂ©cider de bloquer toutes les IP en provenance du BrĂ©sil, d'Iran et de Russie, ou peut-ĂȘtre connecter uniquement des IP provenant d'Italie, de Saint-Marin et de Suisse.

Ou nous pourrions décider de connecter toutes les IP européennes qui n'ont pas le site reddit.com comme référence, ou de connecter tous les pays européens sauf les clients qui recherchent sur le site avec le paramÚtre dans l'URL ?S=.

Bien que le plan gratuit CloudFlare ne vous permette de définir que 5 rÚgles de pare-feu, leur combinaison via l'utilisation des opérateurs logiques AND et OR nous permet de définir chirurgicalement n'importe quel modÚle afin de décider de le bloquer ou de le laisser atteindre notre site.

Les possibilitĂ©s d'utilisation et les combinaisons possibles dans des scĂ©narios rĂ©els sont si nombreuses qu'il serait impossible d'examiner toutes les possibilitĂ©s dans cet article, mais il est bon de savoir que grĂące Ă  une analyse appropriĂ©e et Ă  un ajustement de la prise de vue avec une pincĂ©e d'intuition, d'expĂ©rience et de compĂ©tence il est toujours possible d'arrĂȘter un DDOS Layer7 qui parvient Ă  maintenir un site qui autrement aurait inĂ©vitablement disparu.

L'utilisation de CloudFlare comme solution de sĂ©curitĂ© des applications nous permet d'obtenir les avantages et mĂ©thodes de filtrage trĂšs importants suivants :

1. Filtrage au niveau du navigateur via le mode Under Attack

À travers leEn mode attaque de CloudFlare, il est possible de dĂ©fier les navigateurs des visiteurs pour vĂ©rifier s'il s'agit de vrais navigateurs ou simplement de trafic HTTP / S d'outils astucieusement emballĂ©s pour amener DDOS au niveau de l'application et forger des requĂȘtes GET ou POST malveillantes. Dans cette phase nous allons discerner les navigateurs des vrais utilisateurs des outils des attaquants en bloquant ces derniers.

2. Filtrage au niveau de référence

Dans ce mode utilisé dans certains types d'attaque par injection de contenu sur des sites trÚs fréquentés, on peut décider de filtrer l'attaquant en déterminant le référent. En fait, si l'utilisateur réel provient d'une référence utilisée comme vecteur d'attaque, le blocage de la référence avec des rÚgles de pare-feu appropriées bloquera également tous les utilisateurs qui proviennent de cette référence.

3. Filtrage des modĂšles d'URL

Si un botnet décide d'appeler des modÚles spécifiques dans des URL en mode intense ou d'utiliser des modÚles paramétriques pour contourner tout systÚme de cache, nous pouvons identifier le modÚle et bloquer son accÚs.

4. Filtrage au niveau géographique.

Nous pouvons activer un type de filtrage gĂ©ographique au niveau GeoIP qui nous permet de bloquer ou de contester les connexions provenant de pays suspects via le mode Under Attack. Par exemple, si notre entreprise est italienne ou peut-ĂȘtre europĂ©enne, nous pouvons dĂ©cider de bloquer ou de contester les IP asiatiques, africaines, amĂ©ricaines, russes, etc.

La prĂ©cision de cette solution est supĂ©rieure Ă  99% et permet de mettre en place des politiques de filtrage trĂšs agressives et restrictives si vous ĂȘtes confrontĂ© Ă  une solution extrĂȘmement complexe Ă  rĂ©soudre immĂ©diatement.

5. Filtrage sur Autonomous System AS

Un systĂšme autonome (en francese SystĂšme autonome), en rĂ©fĂ©rence Ă  protocoles de routage, est un groupe de routeur e rĂ©seaux sous le contrĂŽle d'une autoritĂ© administrative unique et bien dĂ©finie.

Devrions-nous ĂȘtre attaquĂ©s par Serveurs DĂ©diĂ©s piratĂ©s et utilisĂ©s comme zombies pour lancer l'attaque contre nos clients, nous pouvons dĂ©cider de filtrer toutes les connexions qui n'appartiennent pas aux fournisseurs proposant des services DSL grand public.

Pourquoi un serveur Digital Ocean ou AWS ou OVH devrait-il faire des requĂȘtes Ă  notre serveur web oĂč nous pouvons hĂ©berger un e-commerce d'articles de sport ?

Comme il n'y a apparemment aucune raison Ă  cela et qu'une attaque est en cours, une autre possibilitĂ© consiste Ă  bloquer les systĂšmes autonomes de centre de donnĂ©es connus qui peuvent ĂȘtre piratĂ©s et utilisĂ©s contre.

6. Un MIX des méthodes ci-dessus en combo

L'utilisation d'opĂ©rateurs logiques d'inclusion et d'exclusion tels que AND et OR nous permet d'utiliser toutes les mĂ©thodes prĂ©cĂ©dentes dĂ©crites en utilisant des conditions logiques trĂšs complexes qui nous permettent d'ĂȘtre chirurgical dans l'application des rĂšgles de filtrage, excluant les faux positifs et le trafic lĂ©gitime par le filtrage et l'abandon des politiques qui suivent.

7. Orienté SEO

Toutes les opérations de filtrage sont orientées SEO, c'est-à-dire adéquates pour ne pas bloquer les activités de crawl légitimes des principaux moteurs de recherche tels que Google et Bing.

 

Si vous souhaitez notre aide et notre expérience pour mieux atténuer une attaque DDOS, n'hésitez pas à nous contacter.

 

Vous avez des doutes ? Vous ne savez pas par oĂč commencer ? Contactez-nous


Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

ManagedServer.it est le premier fournisseur italien de solutions d'hébergement hautes performances. Notre modÚle d'abonnement est abordable et prévisible, afin que les clients puissent accéder à nos technologies d'hébergement fiables, à nos serveurs dédiés et au cloud. ManagedServer.it offre également d'excellents services d'assistance et de conseil sur l'hébergement des principaux CMS Open Source tels que WordPress, WooCommerce, Drupal, Prestashop, Magento.

Remonter en haut